oracle ohs导入第三方ssl证书

背景

目前ohs服务器上已有自签名证书,客户购买了第三方证书要求把自签名换成第三方证书,客户提供证书如下:

image.png

for apache

一开始想当然用for Apache里面的证书,因为ohs前身就是apache,这也是所有坑的开始。
证书制作过程很顺利,但在重启服务器时报以下错误:

*** glibc detected *** /u01/app/Oracle/Middleware/Oracle_WT1/ohs/bin/httpd.worker: free(): invalid pointer: 0x000000000c6ce1f0 ***
======= Backtrace: =========
/lib64/libc.so.6[0x3de6c7230f]
/lib64/libc.so.6(cfree+0x4b)[0x3de6c7276b]
/u01/app/Oracle/Middleware/Oracle_WT1/lib/libnnz11.so(nzumfree+0x64)[0x2b707d26b876]
/u01/app/Oracle/Middleware/Oracle_WT1/lib/libnnz11.so(nztiFIC_Free_Identity_Contents+0x45)[0x2b707d29adef]
/u01/app/Oracle/Middleware/Oracle_WT1/lib/libnnz11.so(nztiDI_Destroy_Identity+0x3a)[0x2b707d29ad84]
/u01/app/Oracle/Middleware/Oracle_WT1/lib/libnnz11.so(nztiFIL_Free_Identity_List+0x5a)[0x2b707d29ad36]
/u01/app/Oracle/Middleware/Oracle_WT1/lib/libnnz11.so(nztnFPC_Free_Persona_Contents+0x45)[0x2b707d29ecb5]
/u01/app/Oracle/Middleware/Oracle_WT1/lib/libnnz11.so(nztnDAP_Destroy_A_Persona+0x41)[0x2b707d29ec51]
/u01/app/Oracle/Middleware/Oracle_WT1/lib/libnnz11.so(nztnFPL_Free_Persona_List+0x56)[0x2b707d29ec00]
/u01/app/Oracle/Middleware/Oracle_WT1/lib/libnnz11.so(nztwFWC_Free_Wallet_Contents+0x70)[0x2b707d2a12e6]
/u01/app/Oracle/Middleware/Oracle_WT1/lib/libnnz11.so(nzos_OpenWallet+0x3d)[0x2b707d2b0071]
/u01/app/Oracle/Middleware/Oracle_WT1/ohs/modules/mod_ossl.so[0x2b70800adeff]
/u01/app/Oracle/Middleware/Oracle_WT1/ohs/modules/mod_ossl.so(is_sso_wallet+0x1a)[0x2b70800ae010]
/u01/app/Oracle/Middleware/Oracle_WT1/ohs/modules/mod_ossl.so[0x2b70800ae4a2]
/u01/app/Oracle/Middleware/Oracle_WT1/ohs/modules/mod_ossl.so(ssl_pphrase_Handle+0x13d)[0x2b70800af075]
/u01/app/Oracle/Middleware/Oracle_WT1/ohs/modules/mod_ossl.so(ssl_init_Module+0x229)[0x2b70800a5deb]
/u01/app/Oracle/Middleware/Oracle_WT1/ohs/bin/httpd.worker(ap_run_post_config+0xc8)[0x44fcd0]
/u01/app/Oracle/Middleware/Oracle_WT1/ohs/bin/httpd.worker(main+0x10ad)[0x42debf]
/lib64/libc.so.6(__libc_start_main+0xf4)[0x3de6c1d994]
/u01/app/Oracle/Middleware/Oracle_WT1/ohs/bin/httpd.worker(apr_bucket_mmap_make+0x5a)[0x426bea]

目测无法解决,google和sr上也没有好的解决方案。
因为一直死磕apache,几乎绝望,怀疑证书问题,想到客户证书是Wosign公司签发的,就去wosign的官网,在官网上发现了这张图片,才突然意识到apache文件夹里没有中间证书,巨坑啊。

image.png

至此放弃apache选择other server。

步骤

开始介绍正常正如何导入ohs。

  1. 用文本编辑器打开root证书和所有中间证书,合并成一个文件,文件名为ca.crt。保留标识符“-----BEGIN CERTIFICATE-----“”-----END CERTIFICATE-----“,合并后的文件格式如下:
-----BEGIN CERTIFICATE-----
.....
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
.....
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
.....
-----END CERTIFICATE-----
  1. 将私钥文件 server.key,用户文件server.crt,第1步合并后的ca.crt上传到ohs服务器。
-rw-r--r-- 1 oracle oinstall 4503 Jun  8 01:51 ca.crt
-rwxr-xr-x 1 oracle oinstall 2061 Jun  8 01:50 server.crt
-rwxr-xr-x 1 oracle oinstall 1700 Jun  8 01:50 server.key
  1. 用openssl将证书转换成 PKCS #12类型
openssl pkcs12 -export -in server.crt -inkey server.key -certfile ca.crt -out ewallet.p12

openssl会要求输入密码,该密码不能为空,命令执行完后会生成ewallet.p12文件
对于第三方证书,ohs目前只支持这种类型,并且生成的文件名ewallet.p12也不能修改

image.png
  1. 使用vnc登录ohs服务器,这里需要借助一个gui工具owm,将生成的证书修改为auto login,即无密码登录,不然ohs启动会报错。
    该工具位于$MW_HOME/Oracle_WT1/bin/owm,如/u01/app/Oracle/Middleware/Oracle_WT1/bin/owm
    启动后点击菜单Wallet->Open,会询问是否继续,选择YES后选择包含ewallet.p12的文件夹,输入第3步所指定的密码。
image.png

选择菜单wallet,把Auto Login勾选上,保存退出

image.png

此时ewallet.p12 所在的文件夹下会多出一个文件cwallet.sso

-rw-r--r-- 1 oracle oinstall 4503 Jun  8 01:51 ca.crt
-rw------- 1 oracle oinstall 6453 Jun  8 02:05 cwallet.sso
-rw------- 1 oracle oinstall 6421 Jun  8 02:05 ewallet.p12
-rwxr-xr-x 1 oracle oinstall 2061 Jun  8 01:50 server.crt
-rwxr-xr-x 1 oracle oinstall 1700 Jun  8 01:50 server.key
  1. 在$MW_HOME/Oracle_WT1/instances/instance1/config/OHS/ohs1/keystores下创建一个文件夹保存证书文件,文件名自取,这里以demo为例,复制cwallet.ssoewallet.p12两个文件到demo文件夹下

  2. 修改$MW_HOME/Oracle_WT1/instances/instance1/config/OHS/ohs1/ssl.conf文件

 SSLWallet "${ORACLE_INSTANCE}/config/${COMPONENT_TYPE}/${COMPONENT_NAME}/keyss
tores/default"

修改为

SSLWallet "${ORACLE_INSTANCE}/config/${COMPONENT_TYPE}/${COMPONENT_NAME}/keyss
tores/demo"

保存退出,重启ohs服务器,访问https://host:4443验证证书是否导入成功,至于如何将4443端口修改为默认的443端口,后面再说,也是一件麻烦的事。

后记

之所以折腾到这么晚,总结了一下原因:

  1. 没真正理解ssl原理,盲目选择apache证书
  2. 心浮气躁,懒得去看原理,急于解决错误,搞技术的不该心浮气躁。

补充

2017-06-15 oracle ohs修改https端口

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 201,784评论 5 474
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 84,745评论 2 378
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 148,702评论 0 335
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,229评论 1 272
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,245评论 5 363
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,376评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,798评论 3 393
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,471评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,655评论 1 295
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,485评论 2 318
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,535评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,235评论 3 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,793评论 3 304
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,863评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,096评论 1 258
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,654评论 2 348
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,233评论 2 341

推荐阅读更多精彩内容